Santiago Núñez Consultor Técnico Microsoft

Slides:



Advertisements
Presentaciones similares
Servicio de Impresión KEY MESSAGE: Título SLIDE BUILDS: 0
Advertisements

Intranets P. Reyes / Octubre 2004.
Implementación de seguridad en aplicaciones y datos
SEGURIDAD EN REDES DE DATOS
Control Interno Informático. Concepto
Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.
Rights Management Server Juan Luis García Rambla Código: HOL-WIN13.
Introducción a servidores
I T S S P LIC INFORMATICA SISTEMAS OPERATIVOS WINDOWS 2003 SERVER DOCENTE: L.I RAMIRO ROBLES VILLANUEVA ALUMNOS: ROGELIO CHAIDEZ CORDOBA ZENON ESTRADA.
Servidores Windows Http Ftp …
DIRECT ACCESS.
SERVICIOS DE TCP/IP.
Ing. Horacio Carlos Sagredo Tejerina
Los servicios de red son la fundación de una red de trabajo en un ambiente de computadoras. Generalmente los servicios de red son instalados en uno o.
Gestión de usuarios en redes Miguel A. González Ruz 19/11/07.
2.5 Seguridad e integridad.
Problemas asociados a DHCP. Seguridad.
Windows Server 2003 es un sistema operativo de la familia Windows de la marca Microsoft para servidores que salió al mercado en el año Está.
Implementación de seguridad en aplicaciones y datos Nombre del presentador PuestoCompañía.
28 de junio, Primero – Aclaremos el Nombre FOPE – Forefront Online Protection for Exchange Previamente FOSE Forma parte de Exchange Hosted Services:
Implementación de seguridad en aplicaciones y datos
Fortificación de equipos Elementos de la seguridad.
Implementación de la seguridad en el servidor en Windows 2000 y Windows Server 2003 Nivel Avanzado Orador: Elier Alfaro Alfonso Ingeniero Consultor (CISSP)
Directorio Activo- Active Directory
TEMA 8: « LA ADMINISTRACIÓN DE DOMINIOS»
TIPOS DE SERVIDORES 4/2/2017 3:29 PM
¿Cómo conectamos nuestra red a Internet?
DEFENSA PÚBLICA Jorge Salinas
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
Seguridad del protocolo HTTP
Servidores de nombres de dominio (DNS)
Universidad de La Coruña Escuela Universitaria Politécnica Control de Procesos por Computador Diego Cabaleiro 24 de Noviembre 2009.
HOL – FOR06. ► Introducción. ► Configuración de Forefront. ► Amenazas web: Solución Antimalware ► Amenazas de correo electrónico. Malware y Spam ► Protección.
FIREWALL.
Mejoras y Nuevas Características de ISA Server 2004 Chema Alonso MVP Windows Server Security
Auditoría de Sistemas y Software
HOL – FOR07. ► VPN define una “Virtual Private Network” o Red Privada Virtual. ► Básicamente una VPN establece una conexión segura a través de un medio.
FIREWALLS.
MICROSOFT ISA SERVER PRESENTADO A: FABIO LASSO
Diego Pastor Ralde. Client-side Vulnerabilities  Web Browsers  Office Software  Clients  Media Players.
5. Sistemas de archivos avanzados1 Tema 5: Sistemas de Archivos Avanzados Resumen: –Sistema de archivos distribuido –File Replication Service.
Operación del Servicio Equipo 4. La Operación del Servicio es la 4ª Fase del ciclo de vida del Servicio y la debemos asociar con: Ofrecer un Servicio.
WINDOWS SERVER 2003 Es un sistema operativo de la familia Windows de la marca Microsoft para servidores que salió al mercado en el año Está basada.
Creación de un dominio Windows  Descripción general Introducción a la creación de un dominio de Windows 2000 Instalación de Active Directory Proceso.
Diana Herrera León 6 º «H». Es el término que usa Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores.
WINDOWS SERVER 2003 Es un sistema operativo de la familia Windows de la marca Microsoft para servidores que salió al mercado en el año Está basada.
Seguridad DNS. Javier Rodríguez Granados.
S EGURIDAD DNS - V ULNERABILIDADES, AMENAZAS Y ATAQUES. - M ECANISMOS DE SEGURIDAD. Luis Villalta Márquez.
Michael Ángelo De Lancer Franco  DNS: es un protocolo de resolución de nombres para redes TCP/IP, como Internet o la red de una organización.
FMAT, UADY Noviembre 2003 Prácticas de seguridad para Administradores.
Cuentas de usuarios y grupos en windows 2008 server
Políticas de defensa en profundidad: - Defensa perimetral
FUNDAMENTOS TECNOLÓGICOS DE INFORMACIÓN Ing. Tanya Recalde Chiluiza.
La administración de dominios
SERVIDOR DE ARCHIVOS E IMPRESION
INTRODUCCIÓN A LOS SISTEMAS OPERATIVOS EN RED.
Cuentas de usuarios y grupos en windows 2008 server
Políticas de defensa en profundidad
Gestión de sistemas operativos de red
ABRIMOS NUESTRA, MMC PERSONALIZADA. NOS POSICIONAMOS DENTRO DE “ACTIVE DIRECTORY USERS AND COMPUTERS” Y LO EXPANDIMOS.
Gabriel Montañés León.  El sistema de nombres de dominio (DNS, Domain Name System) se diseñó originalmente como un protocolo. Antes de considerar qué.
Michael Ángelo De Lancer Franco Windows Server 2008 dispone de muchas características que mejoran la seguridad y el cumplimiento. Algunas mejoras.
Problemas asociados a DHCP - Seguridad
Un controlador de dominio
Unidad 4. Servicios de acceso remoto
Implementación de seguridad en aplicaciones y datos Mónica Fernández ConsultorMicrosoft.
APLICACIONES EN LINEA.
Usuarios, grupos y unidades organizativas de active directory Integrante: Saúl curitomay cruz Profesor: Waldir Cruz Ramos.
WINDOWS SERVER 2008 r2 ADMINISTRACION DE RECURSOS: Con el Administrador de recursos del sistema de Windows del sistema operativo Windows Server® 2008 R2,
SEGURIDAD TELEMÁTICA. VISIÓN ACTUAL Y DE FUTURO.
Transcripción de la presentación:

Santiago Núñez Consultor Técnico Microsoft Microsoft Windows en el proceso de certificación. Seguridad en Microsoft Windows Server 2003 Santiago Núñez Consultor Técnico Microsoft

Principios de Seguridad Confidencialidad Integridad Disponibilidad Confidencialidad: garantizar que sólo los usuarios y aplicaciones autorizados acceden a la información Integridad: asegurar que la información no ha sido modificada Disponibilidad: garantizar que la información está accesible a usuarios y aplicaciones

Parámetros de seguridad Situación actual Procesos Tecnología La seguridad se administra desde 3 aspectos clave, sin una correcta aproximación a cada uno de estos aspectos de forma equilibrada tendremos que dedicar mayores recursos en el resto de los aspectos para que el centro de atención no se desplace. Cada uno de estos aspectos funciona como un vector que provoca un desequilibrio. Así podemos tener una capacidad tecnológica grande pero careciendo de procesos correctos y de la suficiente predisposición de la gente la fuerza de estos dos vectores impedirán que únicamente la tecnología pueda asegurar unos niveles de seguridad suficientes. En este aspecto ISO 17799 cumple una función importante en cuanto la definición de los procesos a establecer y las responsabilidades requeridas a las personas que utilizan el sistema. Microsoft por su parte dota a esos procesos y a esas personas de la tecnología suficiente para implementarlos. + - Gente

Agenda Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Bastionado Asegurar un Servidor de Autenticación IAS

Seguridad de los servidores Situación actual Servidores con diversas funciones Recursos limitados para implementar soluciones seguras Utilización de sistemas antiguos Amenaza interna o accidental Carencia de experiencia en seguridad El acceso físico anula muchos procedimientos de seguridad Consecuencias legales

Seguridad de los servidores Situación actual La complejidad es enemiga de la seguridad

Seguridad de los servidores Primeros pasos Diferenciar los servidores: Valor o criticidad de los datos o aplicaciones Nivel de exposición Rol o función Y entonces: Priorizar los recursos destinados Aplicar distintas políticas según el rol y el nivel de exposición

Diferenciar servidores Según su criticidad La criticidad de un servidor la puede determinar: Los datos que contiene el servidor: cuentas de usuarios, información financiera, datos sensibles El servicio que ofrece El nivel de servicio necesario (SLA) Una infraestructura debe “aislar” los sistemas más críticos La seguridad de un sistema crítico no debe depender de la seguridad de otro de menor criticidad

Diferenciar servidores Según su ubicación La ubicación puede determinar el nivel de exposición a distintos atacantes Zona interna de confianza Zona de acceso remoto Zona perimetral Las políticas de seguridad pueden variar según la exposición

Diferenciar servidores Según su funcionalidad Cada servidor tendrá una serie de funcionalidades lícitas Controladores de dominio Servidores de infraestructura: DHCP, WINS Servidores de archivos Servidores de impresión Servidores de aplicación IIS Servidores de autenticación IAS Servidores de certificación Servidores bastiones Pueden aparecer otros roles Hacer que cada servidor sea un representante único de su rol, dificulta la gestión.

Estrategia de Defensa en Profundidad Cada capa establece sus defensas: Datos y Recursos: ACLs, Cifrado Defensas de Aplicación: Validación de las entradas, Antivirus Defensas de Host: Asegurar el SO, aplicar revisiones y SP, Auditoria Defensas de red: Segmentación, VLAN ACLs, IPSec Defensas de perímetro: Filrado de paquetes, IDS, Cuarentena en VPN Defensas de Perímetro Defensas de Red Defensas de Host Defensas de Aplicación Datos y Recursos

Estrategia de Defensa en Profundidad Directivas, procedimientos, formación y concienciación Cada capa asume que la capa anterior ha fallado: Medidas redundantes Seguridad Física Todo bajo la dirección de la política de seguridad de la empresa Basada en capas: Aumenta la posibilidad de que se detecten los intrusos Disminuye la oportunidad de que los intrusos logren su propósito Seguridad física Defensas de Perímetro Asume fallo de la capa anterior Defensas de Red Defensas de Host Defensas de Aplicación Datos y Recursos

Seguridad de Servidor Prácticas Básicas Aplicar Service Packs Aplicar las Revisiones de Seguridad Subscribirse a los boletines de seguridad “TechNet Security Day I”

Agenda Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Bastionado Asegurar un Servidor de Autenticación IAS

Seguridad en Entornos Confiados Estrategia Asegurar el entorno de Active Directory Crear un diseño teniendo en cuenta las implicaciones de seguridad Revisar el diseño actual Crear una Línea Base de Seguridad para todos los servidores integrantes “Mínimo Común” de la seguridad Afinar esa Base para cada uno de los roles específicos

Active Directory Componentes Bosque Un bosque funciona como límite de seguridad en Active Directory Dominio Facilita la gestión Unidad organizativa Contenedor de objetos Directivas de grupo Herramienta clave para implementar y administrar la seguridad de una red

Active Directory Consideraciones de diseño Crear un Plan de Seguridad de Active Directory Establecer claramente los límites de seguridad y administrativos Seguridad basada en la infraestructura de dominios Separación de administradores Gestionar cuidadosamente grupos con elevados privilegios Administradores de Empresa (Enterprise Admins) Administradores de Esquema (Schema Admins) Delegar tareas administrativas Crear una Estructura de Unidades Organizativas Para delegación de administración. Para la aplicación de directivas de grupo Si ya está desplegado AD, revisar el diseño actual para conocer mejor las posibles vulnerabilidades

Diseño de Active Directory Plan de Seguridad Analizar el entorno Centro de datos de intranet Sucursales Centro de datos de extranet Realizar un análisis de las amenazas Identificar las amenazas para Active Directory Identificar los tipos de amenazas Identificar el origen de las amenazas Determinar medidas de seguridad para las amenazas Establecer planes de contingencia

Diseño de Active Directory Recomendaciones de Administración Separación de roles de administración Administradores de servicio Encargados de configurar y administrar los distintos servicios de AD Controlan la replicación y el correcto funcionamiento Copias de seguridad y restauración de AD Administran los controladores de dominio y servidores de infraestructura Administradores de datos Administran subconjuntos de objetos de AD: Usuarios, grupos, carpetas compartidas Equipos, servidores integrantes y los datos que contienen

Diseño de Active Directory Autonomía o Aislamiento Autonomía (control no exclusivo) Autonomía de servicio Crear un bosque para autonomía de esquema, autoridades de certificación de empresa, etc. Crear un dominio para autonomía de directivas de grupo, políticas de contraseña Autonomía de datos Crear una OU para delegar control a los administradores de datos Aislamiento (control exclusivo) Aislamiento de servicio Crear un bosque Aislamiento de datos Crear una OU para aislar de otros administradores de datos Crear un bosque para aislar de los administradores de servicio

Administración Active Directory Recomendaciones generales Delegar los permisos mínimos necesarios para cada rol Utilizar doble cuenta para usuarios administradores Cuenta de administración (no genérica) Cuenta de usuario: acceso al correo, documentar, navegar Utilizar autenticación fuerte para cuentas de administración Autenticación de dos factores: Smart Card y PIN

Diseño de Active Directory Bosques Separar en otro bosque los servidores de Extranet Crear otro bosque para aislar administradores de servicios Bosques y dominios Bosque = Límite real de seguridad Dominio = Límite de gestión para administradores con buen comportamiento Múltiples bosques Bosque Trust

Diseño de Active Directory Jerarquía de Unidades Organizativas Directiva de dominio Dominio Diseño de dominios Directiva de línea de base de servidor integrante Servidores integrantes Controladores de dominio Directiva de controladores de dominio Directiva de servidores de impresión Directiva de servidores de archivos Directiva de servidores IIS Servidores de impresión Servidores de archivos Servidores Web Administrador de operaciones Administrador de servicios Web Una jerarquía de unidades organizativas basada en funciones de servidor: Simplifica la administración de la seguridad Aplica la configuración de directivas de seguridad a los servidores y a otros objetos en cada unidad organizativa

Directiva de Grupo de Dominio Fortalecimiento de la configuración Revisar y modificar la Directiva por defecto Es posible que no se adecue a las políticas de la empresa Para modificarla existen dos estrategias: Modificar la Directiva por defecto Crear una Directiva Incremental Políticas de cuentas para los usuarios del dominio Caducidad y Complejidad de Contraseñas Bloqueo y Desbloqueo de cuentas

Demostración Delegación de administración y aplicación de una plantilla de seguridad Delegación del control a un grupo administrativo Aplicación de la plantilla de seguridad de dominio En esta demostración, verá cómo: Crear una estructura de unidades organizativas. Delegar el control de una unidad organizativa en un grupo administrativo. Aplicar la plantilla de seguridad de dominios.

Refuerzo de Seguridad Proceso Servidores de infraestructuras Servidores de archivos Servidores IIS Autoridades de Certificación Hosts bastiones Seguridad Active Directory Directiva de línea de base de servidores integrantes Servidores RADIUS Procedimientos de refuerzo de la seguridad Configuración de seguridad incremental basada en funciones Configuración de seguridad de línea de base para todos los servidores integrantes Opciones de configuración adicionales para servidores con funciones específicas Utilizar GPResult para verificar la aplicación

Línea Base de Seguridad Recomendaciones Se aplicará a todos los servidores integrantes No a los controladores de dominio Opciones de la plantilla: Directiva de auditoria Inicio y fin de sesión, cambios en la política Asignación de derechos de usuario Permitir inicio de sesión local en los servidores Opciones de seguridad Nombres de cuentas de administrador y de invitado Acceso a la unidad de CD-ROM y de disquete Los mensajes de inicio de sesión Registro de sucesos Tamaño Servicios del sistema Comportamiento de inicio

Línea Base de Seguridad Recomendaciones No aplicar directamente las plantillas: Revisar detalladamente todas las opciones Probar los cambios en entorno de laboratorio antes de implementarlos en producción

Línea Base de Seguridad Posibles cambios Para evitar operaciones remotas de los administradores de servicio Utilizar la política “Denegar inicio de sesión desde red” Cuidado con las opciones del registro de sucesos cuando se llena Denegación de servicio si se llena el registro de seguridad Compatibilidad con sistemas anteriores, hace rebajar el nivel de seguridad: “Firmar digitalmente las comunicaciones (siempre)” (SMB) “No permitir enumeraciones anónimas de cuentas” “No almacenar el valor de hash de Lan Manager” “Nivel de Autenticación de Lan Manager”

Línea Base de Seguridad Otras opciones Asegurar la pila TCP/IP Prevenir ataques DoS Deshabilitar la generación automática de nombres 8.3 en NTFS Deshabilitar la opción de ejecución automática de CD-ROMs (Autorun) Orden de búsqueda de DLLs

Agenda Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Bastionado Asegurar un Servidor de Autenticación IAS

Asegurar un Controlador de Dominio Son los servidores más importantes de la infraestructura Poseen la información de todos los objetos del Active Directory La seguridad física es importante Ubicados en salas con control de acceso Las copias de seguridad poseen también información crítica Se deben almacenar en entornos con control de acceso Proceso de Instalación: En ubicaciones controladas Bajo la supervisión de administradores Utilizando procedimientos automatizados

Controladores de dominio Plantilla de seguridad La mayoría de las directivas coincidirán con la Línea Base de Seguridad Mayores restricciones en los derechos de usuarios Inicio de sesión interactiva: Sólo administradores Inicio de sesión por TS: Sólo administradores Restauración: Sólo administradores Cambiar la hora del sistema: Sólo administradores Configuración servicios específicos: DFS DNS NTFRS KDC

Controladores de Dominio Medidas de Seguridad Adicionales Reubicar los directorios de la base de datos y logs de Active Directory Incrementar el tamaño de los registros de eventos Asegurar el servicio DNS Utilizar actualizaciones dinámicas seguras Limitar las transferencias de zonas Bloquear puertos con IPSec

Agenda Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Bastionado Asegurar un Servidor de Autenticación IAS

Asegurar un Servidor de Infraestructura Servidores DHCP y WINS Se utilizará una plantilla de seguridad incremental específica para Servidor de infraestructuras Se configurarán manualmente las opciones adicionales

Servidor de Infraestructura Plantilla de seguridad Heredará las directivas de la Línea Base de Seguridad Modificará los Servicios para incluir: Inicio y seguridad de los servicios DHCP y WINS

Servidor de Infraestructura Configuraciones adicionales Es recomendable establecer las siguientes configuraciones adicionales: Configuración de registro (log) de DHCP Protección frente a DoS (80/20) Evitar perdida de servicio Usar cuentas de servicio: No privilegiadas Cuentas locales Protección de cuentas locales: Administrador Invitado Permitir tráfico sólo a puertos autorizados mediante filtros IPSec

Agenda Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Bastionado Asegurar un Servidor de Autenticación IAS

Asegurar un Servidor de Archivos Balanceo entre seguridad y facilidad de uso Basados en SMB o CIFS: Utilizan NetBIOS Proporcionar información a usuarios no autenticados

Servidor de Archivos Plantilla de seguridad Heredará las directivas de la Línea Base de Seguridad Deshabilitar DFS y NTFRS si no son necesarios DFS: Sistema distribuidos de ficheros NTFRS: Replicación de ficheros

Servidor de Archivos Configuraciones adicionales Utilizar ACLs para controlar el acceso: Sobre archivos y carpetas compartidos mediante NTFS Sobre los recursos compartidos Evitar: Todos/Control Total Uso de auditoria sobre archivos importantes: Perjudica el rendimiento Asegurar cuentas conocidas: Invitado Administrador Filtrado de tráfico mediante IPSec para permitir sólo puertos específicos

Agenda Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Bastionado Asegurar un Servidor de Autenticación IAS

Asegurar un Servidor de Aplicaciones IIS Se debe proteger cada servidor IIS y cada aplicación Se utilizará una plantilla incremental

Servidor de Aplicaciones IIS Plantilla de seguridad Aplica las directivas de la Línea Base de Seguridad Permisos de usuario: “Denegar acceso a este equipo desde la red” Incluir: administrador local, Invitado, etc. Servicios para incluir: HTTP SSL IIS Admin W3C

Servidor de Aplicaciones IIS Configuraciones adicionales Instalar sólo los componentes necesarios Habilitar sólo las extensiones necesarias Ubicar el contenido en volúmenes dedicados Evitar usar el volumen de sistema Establecer permisos NTFS Establecer permisos IIS sobre los sitios web Evitar permisos de ejecución y escritura en el mismo sitio web Evitar cuentas de servicio de dominio Asegurar cuentas conocidas: Invitado Administrador Filtrado de tráfico mediante IPSec para permitir sólo puertos específicos (80,443)

Agenda Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Bastionado Asegurar un Servidor de Autenticación IAS

Entornos no Confiados Acercando los servidores al enemigo Servidores en redes perimetrales Servidores DNS públicos Servidores de aplicación IIS Servidores de VPN Servidores en redes de acceso remoto Servidores de autenticación IAS

Entornos no Confiados Estrategias Utilizar Servidores Independientes Cuentas locales Directivas de seguridad local Utilizar un bosque dedicado Permite utilizar cuentas de administración comunes Permite aplicar Directivas de Seguridad de Grupo Se utilizará un bosque separado del bosque interno, para evitar el compromiso de cuentas de usuarios internos

Servidores independientes Aplicación de plantillas de seguridad Plantillas de seguridad para cada servidor o rol Aplicación local mediante herramientas “Configuración y Análisis de Seguridad” Permite la comparación y la aplicación de varias plantillas de seguridad “SecEdit” Línea de comandos Permite aplicar plantillas mediante scripts

Bosque dedicado Aplicación de políticas Bosques independientes Permite una administración centralizada de la red perimetral

Agenda Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Bastionado Asegurar un Servidor de Autenticación IAS

Bastionado Servidores con acceso público Servidores expuestos a ataques externos. Minimizar la superficie de ataque. Normalmente uno de los siguientes roles Servidores de Aplicación IIS Servidores DNS Servidores SMTP Otros servicios de Internet: NNTP, FTP Servidores Independientes Política de seguridad muy restrictiva

Bastionado Política de seguridad Derechos de usuario “Permitir el inicio de sesión local” Administradores “Denegar el acceso desde la red a este equipo” ANONYMOUS LOGON Administrador Support_388945a0 Invitado (* no el grupo Invitados) El resto de cuentas de servicio que no son del SO

Bastionado Política de seguridad Servicios deshabilitados Todos los de la Línea Base y algunos más: Actualizaciones automáticas Administrador de acceso remoto Cliente DHCP Examinador de equipos (Computer Browser) Proveedor de compatibilidad de seguridad LM con Windows NT Registro Remoto Servidor Servicios de Terminal Services TCP/IP NetBIOS Helper Service NetBIOS sobre TCP/IP

Bastionado Política de seguridad Servicios habilitados Sólo los servicios imprescindibles Correspondiente al rol “SMTP”, “W3C” Administrador de cuentas de seguridad Inicio de sesión en red (Netlogon) Estación de trabajo

Bastionado Configuraciones adicionales Deshabilitar los protocolos innecesarios Cliente para redes Microsoft Compartir impresoras y archivos para redes Microsoft NetBIOS sobre TCP/IP Asegurar las cuentas conocidas Invitado Administrador Bloqueo de puertos mediante IPSec

Bastionado Filtrado IPSec Filtros para tráfico permitido y bloqueado No se produce ninguna negociación real de las asociaciones de seguridad de IPSec Los filtros se solapan: la coincidencia más específica determina la acción No proporciona filtrado de estado Desde IP A IP Protocolo Puerto de origen Puerto de destino Acción Cualquiera Mi IP de Internet N/D Bloquear TCP 80 Permitir

Demostración Aplicación de la plantilla de seguridad de bastionado Aplicación de la plantilla de seguridad a un servidor independiente

Agenda Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Bastionado Asegurar un Servidor de Autenticación IAS

Servidor de Aplicaciones IIS Reforzar la seguridad Se aplican las recomendaciones anteriores para entornos de confianza Servidores independientes si no se necesitan cuentas de dominio Bosque separado del interno Utilizar configuraciones avanzadas de IIS 6.0: Aislamiento de aplicaciones Cuentas con el menor privilegio

Servidor de Aplicaciones IIS Aislamiento de aplicaciones Incrementar la seguridad en servidores IIS compartidos por varias aplicaciones Los usuarios y aplicaciones de un sitio no pueden leer el contenido de otro Asignar aplicaciones a diferentes “grupos de aplicación”

Servidor de Aplicaciones IIS Aislamiento de aplicaciones Asignar identidades únicas: A cada grupo de aplicación Al usuario anónimo de cada sitio Añadir la identidad de cada “grupo de aplicación” al grupo IIS_WPG Asignar permisos NTFS para el contenido de cada aplicación

Agenda Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Bastionado Asegurar un Servidor de Autenticación IAS

Servidor de Autenticación IAS RADIUS Utilizado para autenticar a los clientes externos Acceso remoto Clientes wireless Expuestos a ataques externos Deshabilitar los elementos innecesarios

Windows Server 2003 Security Guide Objetivos de diseño Proporcionar guías para: Usuarios finales Administradores de Sistemas Administradores de Seguridad Estas guías son: Guías probadas en entornos reales Diseñadas para preocupaciones reales de seguridad Apropiadas para situaciones reales

Windows Server 2003 Security Guide Plantillas de seguridad Plantillas para tres escenarios: “Legacy templates”: predomina la compatibilidad sobre la seguridad “Enterprise templates”: apropiadas para la mayoría de los entornos “High-security”: mayor restricción de seguridad, sin compatibilidad

Resumen

Asegurar Windows Server 2003 Estrategia Diferenciar los servidores por su criticidad, ubicación y rol. Estrategia de Defensa en Profundidad. Implementar políticas de seguridad basadas en la guía de recomendaciones “Windows Server 2003 Security Guide”

Diseño de Active Directory Estrategia Los Bosques establecen los Límites Reales de Seguridad. Diferenciar los Roles de Administración Utilizar Unidades Organizativas para Delegar Administración y aplicar Directivas de Grupo

Servidores en Entornos Confiados Estrategia Establecer Directiva de Grupo de Dominio Crear una Línea Base de Seguridad Común Afinar con Directivas de Grupo para cada Rol de Servidores

Servidores en Entornos no Confiados Estrategia Utilizar Servidores Independientes si es posible Aplicar Directivas Locales para cada Servidor Utilizar Filtros IPSec para reducir la Superficie de Ataque

Preguntas y respuestas

Para obtener más información Sitio de seguridad de Microsoft http://www.microsoft.com/security http://www.microsoft.com/spain/seguridad/ Sitio de seguridad de TechNet (profesionales de IT) http://www.microsoft.com/technet/security/ http://www.microsoft.com/spain/technet/seguridad/ Sitio de seguridad de MSDN (desarrolladores) http://msdn.microsoft.com/security

Barcelona 4 Mayo 2004

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.